تسببت ثغرة أمنية خطيرة في Linux Kernel، تُعرف باسم Copy Fail ومسجلة تحت الرمز CVE-2026-31431، في حالة استنفار تقني واسع، كونها تمنح المستخدمين العاديين صلاحية الوصول إلى رتبة root الكاملة على توزيعات رئيسية تشمل Ubuntu وRed Hat Enterprise Linux وDebian وSUSE وAmazon Linux وFedora. الخلل الذي كُشف عنه في 29 أبريل 2026، يعود إلى مشكلة في عمليات AEAD copy داخل الكيرنل، مما يتيح للمهاجم كتابة أربعة بايتات في كل مرة داخل page cache لملفات لا يملك صلاحيتها، دون الحاجة لتعديل البيانات المخزنة على القرص الصلب (disk) نفسه. هذه الآلية تجعل الثغرة قادرة على تجاوز أدوات حماية سلامة الملفات مثل AIDE وTripwire، ما يجعل اكتشاف الهجوم مستحيلاً حتى يتم سد الثغرة برمجياً.
ما يثير القلق هو أن الثغرة تعمل بفعالية فور تشغيلها على الأنظمة المتضررة دون الحاجة لانتظار ظروف معينة (race conditions) أو تعديلات تقنية خاصة بكل توزيعة، وفق ما ذكره باحثون أمنيون في موقع copy.fail وتحليلات تقنية من NERDS.xyz وSlashdot. ومع صدور كود إثبات المفهوم (proof-of-concept)، يقتصر استغلال الثغرة حالياً على الوصول المحلي، لكن المطورين أشاروا إلى قرب صدور نسخة قادرة على تجاوز الحاويات (container escapes) مثل Docker. وصفت Ars Technica هذا التهديد بأنه الأخطر على بيئة لينكس منذ سنوات، خاصة وأن الإعلان عنه جاء مفاجئاً للشركات المطورة للتوزيعات دون منحها مهلة مسبقة، مما ترك كافة الأنظمة التي تعمل بنواة من إصدارات 2017 فما فوق مكشوفة تماماً.
تتضاعف مخاطر هذه الثغرة في البيئات المشتركة التي يكثر فيها الوصول بصلاحيات محدودة، مثل الخوادم متعددة المستأجرين (multi-tenant)، ومجموعات Kubernetes، وخطوط إنتاج البرمجيات (CI/CD pipelines)، ومنصات السحاب التي تشغل أكواداً برمجية غير موثوقة. في هذه السيناريوهات، يمكن لثغرة بسيطة —مثل اختراق إضافة في WordPress تمنح وصولاً لـ www-data shell— أن تتحول إلى سيطرة كاملة على الخادم، والهروب من الحاويات، والتنقل بين أنظمة المستأجرين، بل وحتى زرع أبواب خلفية (backdoors). وبحسب خبراء في Field Effect وMondoo، فإن الـ shared page cache يجعل من حدود الحاويات مجرد وهم، حيث لا تحظر معايير أمان Kubernetes واجهة AF_ALG socket البرمجية بشكل افتراضي، وهي الواجهة التي تعتمد عليها الثغرة.
تسابق توزيعات لينكس الزمن الآن لإصدار تحديثات الكيرنل، والتي تتطلب إعادة تشغيل الأنظمة لتدخل حيز التنفيذ وتنهي المشكلة جذرياً. من جهته، أصدر CERT-EU التوصية رقم 2026-005 التي تنصح بتطبيق seccomp profiles مخصصة لمنع استخدام AF_ALG sockets في بيئات العمل غير الموثوقة، كإجراء احترازي مؤقت لبيئات Kubernetes وأنظمة بناء الأكواد. وكما تظهر النقاشات في Hacker News، فإن غياب التنسيق المسبق قبل الكشف عن الثغرة يعيد الجدل حول سياسات الإفصاح، حيث تم تقديم حماية المستخدمين المتضررين كأولوية على حساب التنسيق المؤسسي مع الشركات التقنية.
يجب على المنظمات إعطاء الأولوية لتحديث البنية التحتية المشتركة أولاً، بما في ذلك أنظمة البناء ومحطات عمل المطورين التي تتعامل مع أكواد غير موثوقة، مع التفكير في حلول سريعة مثل حظر AF_ALG عبر seccomp. وبينما تظل الخوادم ذات المستأجر الواحد عرضة للخطر في حال تم الوصول إليها محلياً، تظل الأجهزة الشخصية للمستخدمين في درجة خطورة أقل ما لم يتم تشغيل برمجيات خبيثة عليها. وتدعو تقارير Epoch Shift Media مزودي الخدمات السحابية الكبار إلى عزل البيئات المتضررة فوراً لمنع انتشار البرمجيات الخبيثة عبر أدوات النشر الآلي.
تتوسع التداعيات لتشمل مستخدمي ويندوز عبر WSL2 ومنصات SaaS التي تتيح تشغيل الحاويات، حيث يمكن أن تتحول العمليات الروتينية إلى ناقلات للبرمجيات الخبيثة. ومع أن Copy Fail لا يمكن استغلالها مباشرة عبر الإنترنت، إلا أنها تعري واقع نظام لينكس في عام 2026؛ حيث تعتمد أغلب بيئات الحاويات والسحاب على أنوية مشتركة (shared kernels)، مما يحول خللاً "محلياً" إلى تهديد بنيوي شامل. ورغم استمرار الشركات في إرسال التحديثات، إلا أن الأمان لن يتحقق فعلياً حتى يتم إعادة تشغيل الأنظمة بنسخة Linux Kernel المحمية.